[发明专利]一种基于本福特定律的异常流模式识别方法

说明书

本发明公开了一种基于本福特定律的异常流模式识别方法：利用本福特定律分别选取在正常网络环境下和异常网络环境下区分能力最强的特征作为度量，依据度量分别获取不同攻击类型的混合数据集，利用各个混合数据集所对应模式图之间的差异对各个攻击类型进行识别。通过模式图能够识别不同攻击类型以及推断异常会话的数量。它相对于其他异常检测技术的优点在于：只需要对实际分布及拟合度进行计算，计算量少，计算过程也更加简单。于不同的攻击类型，都可以采用该特征作为分类的标准，有更好的适用性。

技术领域

本发明属于网络流模式识别方法，具体涉及一种基于本福特定律的异常流模式识别方法。

背景技术

随着互联网的飞速发展，网络的普及范围越来越广。网络已经成为了我们工作生活中密不可分的一部分，与我们的个人利益息息相关。网络中一旦出现异常，造成的危害不可估量。入侵检测系统就是保障网络安全的重要技术之一，异常流识别是指在入侵检测过程中对异常流进行检测与分类。并且它是影响入侵检测系统性能好坏的关键指标。

近年来，异常流识别在统计或数据挖掘方法上进行了大量研究。然而，数据挖掘往往需要有大量的训练样本进行训练，才能保证模型的准确度。当训练样本数量不足时，检测效果将大打折扣，模型的识别效果可能还不如传统的基于人工特征提取的统计分析方法。并且，由于数据挖掘的实时计算比较昂贵，在高容量的环境下，会使得检测非常具有挑战性。

为了解决这些问题，需要研究一种能用于实时检测的技术。由于不同类型的异常流之间的统计特性是相似的，可以利用统计的方法识别异常流。统计是从流量本身进行分析的，它揭示的是流量内部的变化规律，更能反映流量变化趋势。如何利用统计的方式进行异常流的快速识别，是一亟待解决的课题。

发明内容：

为了克服上述背景技术的缺陷，本发明提供一种基于本福特定律的异常流模式识别方法，适用于多种攻击类型，简化了分类的步骤。

为了解决上述技术问题本发明的所采用的技术方案为：

一种基于本福特定律的异常流模式识别方法：利用本福特定律分别选取在正常网络环境下和异常网络环境下区分能力最强的特征作为度量，依据度量分别获取不同攻击类型的混合数据集，利用各个混合数据集所对应模式图之间的差异对各个攻击类型进行识别。

较佳地，利用与本福特定律分别选取在正常网络环境下与异常网络环境下区分能力最强的特征作为度量的具体方法包括：

正常会话特征数据集生成步骤，捕获正常网络会话，作为正常会话集合，提取正常会话集合中各个特征对应的特征值，将各个特征对应的特征值的集合作为特征的正常会话特征数据集；

点集获取步骤，利用窗口值集合中各个窗口值对正常会话数据集进行均等划分；依次遍历窗口值集合中的各个窗口值，获取划分后每个独立模块的块内拟合度，获取各个独立模块对应块内拟合度的平均值，得到各个窗口值所对应的平均拟合度，依据所有窗口值和各个窗口值所对应的平均拟合度获取点集；

最佳窗口值获取步骤，依据点集获取对应的拟合函数，将拟合函数距离零点最近的点的横坐标作为最佳窗口值；

度量生成步骤，捕获异常网络会话，作为异常会话集合，提取异常会话集合中各个特征对应的特征值，将各个特征对应的特征值的集合作为特征的异常会话特征数据集；将异常会话特征数据集和正常会话特征数据集按照最佳窗口值进行分割，获取各个异常会话特征数据集和正常会话特征数据集在最佳窗口值的平均拟合度，获取各个特征所对应的正常会话产生的数据集的平均拟合度与异常会话产生的数据集的平均拟合度的差值，差值最大的特征即为度量。

较佳地，特征包括有源地址、源端口、目的地址、目的端口、数据包大小、字节大小、源到目的的数据包大小、源到目的的字节大小、目的到源的数据包大小、目的到源的字节大小、相对开始时间和持续时间。